hacktricks/network-services-pentesting/5985-5986-pentesting-omi.md

## Informações Básicas

OMI é uma ferramenta de gerenciamento de configuração remota de código aberto desenvolvida pela Microsoft. Agentes OMI são comumente encontrados instalados em servidores Linux do Azure quando os seguintes serviços estão em uso:

* Automação do Azure
* Atualização Automática do Azure
* Suite de Gerenciamento de Operações do Azure
* Análise de Log do Azure
* Gerenciamento de Configuração do Azure
* Diagnósticos do Azure

Quando esses serviços são configurados, o processo omiengine ouvirá em todas as interfaces e será executado como usuário root.

<figure><img src="../.gitbook/assets/image (1) (3) (2).png" alt=""><figcaption></figcaption></figure>

**Porta padrão:** 5985 (http), 5986 (https)

## [CVE-2021-38647](https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-38647)

A partir de 16 de setembro, servidores Linux recém-criados no Azure ainda são embalados com uma versão vulnerável do agente OMI. Após implantar um servidor Linux e habilitar um dos serviços listados acima, o servidor estará em um estado vulnerável.

O servidor OMI recebe mensagens de gerenciamento de configuração via o endpoint /wsman. Tipicamente, um cabeçalho de autenticação é passado juntamente com a mensagem e o servidor OMI garantirá que o cliente esteja autorizado a se comunicar. Neste caso, a vulnerabilidade é que, quando não há cabeçalho de autenticação, o servidor aceita incorretamente a mensagem e executa a instrução sob o usuário root.

Ao postar uma carga útil SOAP "ExecuteShellCommand" para o servidor sem especificar um cabeçalho de autenticação, ele executará o comando como root.
```xml
<s:Envelope xmlns:s="http://www.w3.org/2003/05/soap-envelope" xmlns:a="http://schemas.xmlsoap.org/ws/2004/08/addressing"
   ...
   <s:Body>
      <p:ExecuteShellCommand_INPUT xmlns:p="http://schemas.dmtf.org/wbem/wscim/1/cim-schema/2/SCX_OperatingSystem">
         <p:command>id</p:command>
         <p:timeout>0</p:timeout>
      </p:ExecuteShellCommand_INPUT>
   </s:Body>
</s:Envelope>
```
Encontre o exploit completo em [https://github.com/horizon3ai/CVE-2021-38647](https://github.com/horizon3ai/CVE-2021-38647)

## Referências

* [https://www.horizon3.ai/omigod-rce-vulnerability-in-multiple-azure-linux-deployments/](https://www.horizon3.ai/omigod-rce-vulnerability-in-multiple-azure-linux-deployments/)
* [https://blog.wiz.io/omigod-critical-vulnerabilities-in-omi-azure/](https://blog.wiz.io/omigod-critical-vulnerabilities-in-omi-azure/)

<details>

<summary><a href="https://cloud.hacktricks.xyz/pentesting-cloud/pentesting-cloud-methodology"><strong>☁️ HackTricks Cloud ☁️</strong></a> -<a href="https://twitter.com/hacktricks_live"><strong>🐦 Twitter 🐦</strong></a> - <a href="https://www.twitch.tv/hacktricks_live/schedule"><strong>🎙️ Twitch 🎙️</strong></a> - <a href="https://www.youtube.com/@hacktricks_LIVE"><strong>🎥 Youtube 🎥</strong></a></summary>

* Você trabalha em uma **empresa de cibersegurança**? Você quer ver sua **empresa anunciada no HackTricks**? ou quer ter acesso à **última versão do PEASS ou baixar o HackTricks em PDF**? Confira os [**PLANOS DE ASSINATURA**](https://github.com/sponsors/carlospolop)!
* Descubra [**A Família PEASS**](https://opensea.io/collection/the-peass-family), nossa coleção exclusiva de [**NFTs**](https://opensea.io/collection/the-peass-family)
* Adquira o [**swag oficial do PEASS & HackTricks**](https://peass.creator-spring.com)
* **Junte-se ao** [**💬**](https://emojipedia.org/speech-balloon/) [**grupo do Discord**](https://discord.gg/hRep4RUj7f) ou ao [**grupo do telegram**](https://t.me/peass) ou **siga-me** no **Twitter** [**🐦**](https://github.com/carlospolop/hacktricks/tree/7af18b62b3bdc423e11444677a6a73d4043511e9/\[https:/emojipedia.org/bird/README.md)[**@carlospolopm**](https://twitter.com/hacktricks_live)**.**
* **Compartilhe suas técnicas de hacking enviando PRs para o [repositório hacktricks](https://github.com/carlospolop/hacktricks) e [hacktricks-cloud repo](https://github.com/carlospolop/hacktricks-cloud)**.

</details>